[gitec] Antivírus em servidores Linux?

Márcio Vilas Boas marcio em camaradiv.mg.gov.br
Quinta Agosto 4 14:26:16 BRT 2011


Pessoal, nesta onda de ataques em massa, acho que a atenção deve ser 
redobrada e creio que esta dica pode ajudar.

abs,

Márcio Vilas Boas
CM - Divinópolis - MG


  Antivírus em servidores Linux?

*/Colaboração: Alexandro Silva/*

*/Data de Publicação: 04 de agosto de 2011

/*

Engraçado como alguns conceitos mudam totalmente ao passar do tempo, 
principalmente quando alguns incidentes são os causadores destas mudanças.

Há algum tempo atrás, quando o assunto era instalar antivírus no Linux, 
uma névoa negra encobria minha mente e o orgulho ou seria melhor dizer a 
ignorância incitava-me a questionar "POR QUE?" já que o Linux é 
totalmente imbatível.

Isso mudou após alguns eventos que acabaram mostrando a importância de 
termos um antivírus instalado e uma rotina diária de checagem do sistema.

Sempre é bom lembrar que apesar de todas as medidas de segurança 
adotadas no sistema, nunca podemos esquecer das vulnerabilidades nas 
aplicações. Algumas delas permitem a inserção de arquivos maliciosos 
como /backdoors/ ou /bots/.

Existem backdoors 
<http://www.darknet.org.uk/2007/03/a-collection-of-web-backdoors-shells-cmdasp-cmdjsp-jsp-reverse-php-backdoor/> 
escritos em php, asp, jsp, etc que permitem o controle total da máquina 
vitima, e o uso de um antivírus é fundamental na detecção e remoção 
destes malwares.

Vejam alguns exemplos de malwares detectados e removidos pelo Clamav 
<http://www.clamav.net>:

   ./xxx.xxxx.xxx.br/xxxx/xoops_lib/modules/protector/s.txt: PHP.Remoteadmin-1 FOUND
   ./xxx.xxx.xxx.br/xxx/xoops_lib/modules/protector/sql/index.php/.Insiderz/xh: Hacktool.Fakeproc FOUND
   ./xxx.xxx.xxx.br/conepir/xoops_lib/modules/protector/sql/index.php/.Insiderz/nadya: Trojan.Eggdrop-117 FOUND
   /xxx/xxx/xxx/xxx/xxx/xxxx/datacha0s.txt: PHP.Chaploit
   /xxx/xxx/xxx/xxx/.X-un1x.2: Trojan.Perl.Shellbot-2

Estes arquivos são normalmente implantados no diretório /tmp com as 
permissões da aplicação. Em várias situações detectei alvos infectados 
conectando diversos servidores IRC formando botnets que derrubavam toda 
a infra da empresa.

A partir dai passei a adotar uma rotina diária de checagem do diretório 
|/tmp| a cada 05 min e do diretório |/var/www/| uma vez ao dia. Os 
resultados obtidos após estas medidas estão sendo bastantes satisfatórios.


    Implementação

   aptitude install clamav


    Agendamento

   crontab -e
   */5 * * * * clamscan -r --remove -l /var/log/clamav/scan_tmp.txt /tmp/
   00 23 * * * clamscan -r --remove -l /var/log/clamav/scan_www.txt /var/www/

Existem também ferramentas 
<http://www.pentestit.com/2011/06/10/easy-ways-detect-web-backdoor-shell-servers/> 
para ajudar na localização de WEB Backdoors Shells.

Qual AV usar fica a seu critério, para mim o Clamav 
<http://www.clamav.net> vem dando conta do recado. Existem diversas 
soluções no mercado, escolha a sua.



-------------- Próxima Parte ----------
Um anexo em HTML foi limpo...
URL: http://listas.interlegis.gov.br/pipermail/gitec/attachments/20110804/7d479a3c/attachment.htm 


Mais detalhes sobre a lista de discussão GITEC